Modification des conditions d'accès aux données à caractère personnel
Publié en juin 2023
Médecin expert Certification Données à caractère personnel Accès aux données Commissaires aux comptes Prestataires extérieurs
Voir également :Le décret n°2023-498 du 22 juin 2023 modifie les conditions d'accès aux données à caractère personnel nécessaires à l'analyse de l'activité médicale des établissements de santé par les commissaires aux comptes et par les prestataires extérieurs contribuant à cette analyse.
Il complète les garanties encadrant l'accès, par les commissaires aux comptes et les prestataires extérieurs contribuant à l'analyse de l'activité médicale des établissements de santé, aux données à caractère personnel nécessaires à cette analyse.
Il prévoit que les commissaires aux comptes ont accès, par l'intermédiaire d'un médecin agissant à titre d'expert, à des données pseudonymisées, préalablement identifiées au regard des objectifs de la mission de certification et que le rapport de certification ne comporte aucune donnée à caractère personnel. Le directeur d'établissement habilite individuellement et spécialement le médecin expert qui peut seul accéder directement aux données traitées par l'établissement de santé, pour consultation uniquement et sans possibilité de création ou de modification. D'ailleurs, l’habilitation de ce médecin expert ne vaut que pour la mission de certification concernée.
Le décret fixe les mentions que doit comporter le contrat de sous-traitance établi entre le directeur d'établissement et les prestataires extérieurs contribuant à l'analyse de l'activité médicale et précise les modalités de contrôle, par le médecin responsable de l'information médicale, de l'activité de ces derniers. Le directeur d'établissement habilite individuellement et spécialement les personnels du prestataire extérieur autorisés à accéder aux données ; l'habilitation prend fin à l'issue des activités de traitement de données prévues par le contrat. Le prestataire procède alors à l'effacement des données dans des conditions sécurisées et en apporte la preuve auprès du médecin responsable de l'information médicale.